Acerca de MBAM 2.5
Microsoft Administración y supervisión de BitLocker (MBAM) 2.5 proporciona una interfaz administrativa simplificada para el cifrado de unidad BitLocker. BitLocker ofrece protección mejorada contra el robo de datos o la exposición de datos para los equipos que se pierden o roban. BitLocker cifra todos los datos almacenados en los volúmenes y unidades del sistema operativo Windows y las unidades de datos configuradas.
Introducción a MBAM
MBAM 2.5 tiene las siguientes características:
Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos cliente en toda la empresa.
Permite que los responsables de seguridad determinen rápidamente el estado de cumplimiento de equipos individuales o incluso de la empresa.
Proporciona administración de informes y hardware centralizada con Microsoft System Center Configuration Manager.
Reduce la carga de trabajo en el Departamento de soporte técnico para ayudar a los usuarios finales con solicitudes de PIN de BitLocker y clave de recuperación.
Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el Portal de autoservicio.
Permite a los responsables de seguridad auditar fácilmente el acceso para recuperar información clave.
Permite a los usuarios de Windows Enterprise continuar trabajando en cualquier lugar con la garantía de que sus datos de la empresa están protegidos.
MBAM aplica las opciones de directiva de cifrado de BitLocker que establezca para su empresa, supervisa el cumplimiento de los equipos cliente con esas directivas e informa sobre el estado de cifrado de los equipos de la empresa y de los individuales. Además, MBAM le permite acceder a la información de la clave de recuperación cuando los usuarios olvidan su PIN o contraseña, o cuando cambian sus registros de BIOS o arranque.
Es posible que los siguientes grupos estén interesados en usar MBAM para administrar BitLocker:
Administradores, profesionales de seguridad de TI y responsables de cumplimiento que son responsables de garantizar que los datos confidenciales no se divulguen sin autorización
Administradores responsables de la seguridad informática en oficinas remotas o sucursales
Administradores responsables de los equipos cliente que ejecutan Windows
Nota BitLocker no se explica en detalle en esta documentación de MBAM. Para obtener más información, vea Información general sobre el cifrado de unidad BitLocker.
Novedades de MBAM 2.5
En esta sección se describen las nuevas características de MBAM 2.5.
Compatibilidad con Microsoft SQL Server 2014
MBAM agrega compatibilidad con Microsoft SQL Server 2014, además del mismo software compatible con versiones anteriores de MBAM.
Plantillas de mbam directiva de grupo descargadas por separado
Las plantillas de mbam directiva de grupo se deben descargar por separado de la instalación de MBAM. En versiones anteriores de MBAM, el instalador de MBAM incluía una plantilla de directiva de MBAM, que contenía los objetos de directiva de grupo (GPO) específicos de MBAM necesarios que definen la configuración de implementación de MBAM para el cifrado de unidad BitLocker. Estos GPO se han quitado del instalador de MBAM. Ahora puede descargar los GPO de Cómo descargar e implementar plantillas de MDOP directiva de grupo (.admx) y copiarlos en un servidor o estación de trabajo antes de comenzar la instalación del cliente de MBAM. Puede copiar las plantillas de directiva de grupo en cualquier servidor o estación de trabajo que ejecute una versión compatible del sistema operativo Windows Server o Windows.
Importante No cambie la configuración de directiva de grupo en el nodo Cifrado de unidad BitLocker o MBAM no funcionará correctamente. Al configurar los valores de directiva de grupo en el nodo MDOP MBAM (Administración de BitLocker), MBAM configura automáticamente la configuración de cifrado de unidad bitlocker automáticamente.
Los archivos de plantilla que necesita copiar en un servidor o estación de trabajo son:
BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx
Copie los archivos de plantilla en la ubicación que mejor se adapte a sus necesidades. Para los archivos específicos del idioma, que deben copiarse en una carpeta específica del idioma, se requiere la consola de administración de directiva de grupo para ver los archivos.
Para instalar los archivos de plantilla localmente en un servidor o estación de trabajo, copie los archivos en una de las siguientes ubicaciones.
Tipo de archivo Ubicación del archivo idioma neutro (.admx)
%systemroot%\policyDefinitions
específico del lenguaje (.adml)
%systemroot%\policyDefinitions[MUIculture] (por ejemplo, el archivo específico del idioma inglés de EE. UU. se almacenará en %systemroot%</em>policyDefinitions\en-us)
Para que las plantillas estén disponibles para todos los administradores directiva de grupo de un dominio, copie los archivos en una de las siguientes ubicaciones en un controlador de dominio.
Tipo de archivo Ubicación del archivo del controlador de dominio Idioma neutro (.admx)
%systemroot%sysvol\domain\policies\PolicyDefinitions
Específico del idioma (.adml)
%systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (por ejemplo, el archivo específico del idioma inglés de EE. UU. se almacenará en %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)
Para obtener más información sobre los archivos de plantilla, vea Administrar directiva de grupo guía paso a paso de archivos ADMX.
Capacidad de aplicar directivas de cifrado en el sistema operativo y las unidades de datos fijas
MBAM 2.5 le permite aplicar directivas de cifrado en el sistema operativo y unidades de datos fijas para equipos de su organización y limitar el número de días que los usuarios finales pueden solicitar un aplazamiento del requisito para cumplir con las directivas de cifrado de MBAM.
Para que pueda configurar la aplicación de directivas de cifrado, se ha agregado una nueva configuración de directiva de grupo, denominada Configuración de cumplimiento de directivas de cifrado, para unidades de sistema operativo y unidades de datos fijas. Esta directiva se describe en la tabla siguiente.
| Configuración de directiva de grupo | Descripción | directiva de grupo nodo usado para configurar esta configuración |
|---|---|---|
Configuración de cumplimiento de directivas de cifrado (unidad del sistema operativo) |
Para esta configuración, use la opción Configurar el número de días de período de gracia no conforme para las unidades del sistema operativo para configurar un período de gracia. El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento con las directivas de MBAM para su unidad de sistema operativo después de que la unidad se detecte por primera vez como no conforme. Una vez expirado el período de gracia configurado, los usuarios no pueden posponer la acción necesaria ni solicitar una exención de ella. Si se requiere la interacción del usuario (por ejemplo, si usa el Módulo de plataforma segura (TPM) + PIN o usa un protector de contraseñas), aparece un cuadro de diálogo y los usuarios no pueden cerrarlo hasta que proporcionen la información necesaria. Si el protector solo es TPM, el cifrado comienza inmediatamente en segundo plano sin la entrada del usuario. Los usuarios no pueden solicitar exenciones mediante el Asistente para cifrado de BitLocker. En su lugar, deben ponerse en contacto con su departamento de soporte técnico o usar cualquier proceso que use su organización para las solicitudes de exención. |
Directivas de configuración >> del equipo Plantillas > administrativas Componentes > de Windows MDOP MBAM (Administración de BitLocker) > Unidad del sistema operativo |
Configuración de cumplimiento de directivas de cifrado (unidades de datos fijas) |
Para esta configuración, use la opción Configurar el número de días de período de gracia no conforme para las unidades fijas para configurar un período de gracia. El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento con las directivas de MBAM para su unidad fija después de que la unidad se detecte por primera vez como no conforme. El período de gracia comienza cuando se determina que la unidad fija no es conforme. Si usa el desbloqueo automático, la directiva no se aplicará hasta que la unidad del sistema operativo sea compatible. Sin embargo, si no usa el desbloqueo automático, el cifrado de la unidad de datos fija puede comenzar antes de que la unidad del sistema operativo esté totalmente cifrada. Una vez expirado el período de gracia configurado, los usuarios no pueden posponer la acción necesaria ni solicitar una exención de ella. Si se requiere la interacción del usuario, aparece un cuadro de diálogo y los usuarios no pueden cerrarlo hasta que proporcionen la información necesaria. |
Directivas de configuración >> del equipo Plantillas > administrativas Componentes > de Windows MDOP MBAM (Administración de BitLocker) > Unidad fija |
Capacidad de proporcionar una dirección URL en el Asistente para cifrado de unidad BitLocker para que apunte a la directiva de seguridad
Una nueva configuración de directiva de grupo, Proporcionar la dirección URL del vínculo Directiva de seguridad, le permite configurar una dirección URL que se presentará a los usuarios finales como un vínculo denominado Directiva de seguridad de empresa. Este vínculo aparecerá cuando MBAM pida a los usuarios que cifren un volumen.
Si habilita esta configuración de directiva, puede configurar la dirección URL del vínculo Directiva de seguridad de empresa . Si deshabilita o no establece esta configuración de directiva, el vínculo Directiva de seguridad de empresa no se mostrará a los usuarios.
La nueva configuración de directiva de grupo se encuentra en el siguiente nodo de GPO:Directivasde configuración>> del equipo Plantillas > administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker) > Administración de cliente.
Compatibilidad con claves de recuperación compatibles con FIPS
MBAM 2.5 admite claves de recuperación de BitLocker compatibles con el Estándar federal de procesamiento de información (FIPS) en dispositivos que ejecutan el sistema operativo Windows 8.1. La clave de recuperación no era compatible con FIPS en versiones anteriores de Windows. Esta mejora mejora el proceso de recuperación de unidades en organizaciones que requieren el cumplimiento de FIPS, ya que permite a los usuarios finales usar el Portal de Self-Service o el Sitio web de administración y supervisión (Help Desk) para recuperar sus unidades si olvidan su PIN o contraseña o se bloquean fuera de sus equipos. La nueva característica de cumplimiento fips no se extiende a los protectores de contraseñas.
Para habilitar el cumplimiento de FIPS en su organización, debe configurar la configuración del Estándar federal de procesamiento de información (FIPS) directiva de grupo. Para obtener instrucciones de configuración, vea Configuración de directiva de grupo BitLocker.
En el caso de los equipos cliente que ejecutan los sistemas operativos Windows 8 o Windows 7 sin la revisión de BitLocker instalada, los administradores de TI seguirán usando el protector agentes de recuperación de datos (DRA) en entornos compatibles con FIPS. Para obtener información sobre DRA, consulte Uso de agentes de recuperación de datos con BitLocker.
Consulta Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 (Paquete de revisión 2 para administración y supervisión de BitLocker 2.5) para descargar e instalar la revisión de BitLocker para equipos con Windows 7 y Windows 8.
Compatibilidad con implementaciones de alta disponibilidad
MBAM admite los siguientes escenarios de alta disponibilidad, además de las topologías estándar de integración de dos servidores y Configuration Manager:
SQL Server grupos de disponibilidad AlwaysOn
agrupación en clústeres de SQL Server
Equilibrio de carga de red (NLB)
SQL Server creación de reflejo
Copia de seguridad del servicio de instantáneas de volumen (VSS)
Para obtener más información sobre estas características, consulte Planeamiento de la alta disponibilidad de MBAM 2.5.
Se ha cambiado la administración de roles para el sitio web de administración y supervisión
En MBAM 2.5, debe crear grupos de seguridad en Servicios de dominio de Active Directory (AD DS) para administrar los roles que proporcionan derechos de acceso al sitio web de administración y supervisión. Los roles permiten a los usuarios que están en grupos de seguridad específicos realizar diferentes tareas en el sitio web, como ver informes o ayudar a los usuarios finales a recuperar unidades cifradas. En versiones anteriores de MBAM, los roles se administraban mediante grupos locales.
En MBAM 2.5, el término "roles" reemplaza al término "roles de administrador", que se usó en versiones anteriores de MBAM. Además, en MBAM 2.5 se ha quitado el rol "Administradores del sistema de MBAM".
En la tabla siguiente se enumeran los grupos de seguridad que debe crear en AD DS. Puede usar cualquier nombre para los grupos de seguridad.
| Rol | Derechos de acceso para este rol en el sitio web de administración y supervisión |
|---|---|
Usuarios del departamento de soporte técnico de MBAM |
Proporciona acceso a las áreas Administrar TPM y Recuperación de unidad del sitio web de administración y supervisión de MBAM. Los usuarios que tienen acceso a estas áreas deben rellenar todos los campos cuando usan cualquiera de ellas. |
Usuarios de informes de MBAM |
Proporciona acceso a los informes en el sitio web de administración y supervisión. |
Usuarios avanzados del departamento de soporte técnico de MBAM |
Proporciona acceso a todas las áreas del sitio web de administración y supervisión. Los usuarios de este grupo solo tienen que escribir la clave de recuperación, no el dominio y el nombre de usuario del usuario final, al ayudar a los usuarios finales a recuperar sus unidades. Si un usuario es miembro del grupo Usuarios del departamento de soporte técnico de MBAM y del grupo Usuarios avanzados del departamento de soporte técnico de MBAM, los permisos del grupo Usuarios avanzados del departamento de soporte técnico de MBAM invalidan los permisos del grupo Usuarios del departamento de soporte técnico de MBAM. |
Después de crear los grupos de seguridad en AD DS, asigne usuarios o grupos al grupo de seguridad adecuado para habilitar el nivel de acceso correspondiente al sitio web de administración y supervisión. Para permitir que las personas con cada rol accedan al sitio web de administración y supervisión, también debe especificar cada grupo de seguridad al configurar el sitio web de administración y supervisión.
cmdlets de Windows PowerShell para configurar características del servidor MBAM
Windows PowerShell cmdlets para MBAM 2.5 permiten configurar y administrar las características del servidor MBAM. Cada característica tiene un cmdlet de Windows PowerShell correspondiente que puede usar para habilitar o deshabilitar características, o para obtener información sobre la característica.
Para conocer los requisitos previos y los requisitos previos para usar Windows PowerShell, consulte Configuring MBAM 2.5 Server Features by Using Windows PowerShell(Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell).
Para cargar la Ayuda de MBAM 2.5 para cmdlets de Windows PowerShell después de instalar el software del servidor MBAM
Abra Windows PowerShell o Windows PowerShell Entorno de scripting integrado (ISE).
Escriba Update-Help –Module Microsoft. MBAM.
Windows PowerShell Ayuda para MBAM está disponible en los siguientes formatos:
| Formato de ayuda de Windows PowerShell | Más información |
|---|---|
En un símbolo del sistema Windows PowerShell, escriba elcmdletGet-Help<.> |
Para cargar los cmdlets de Windows PowerShell más recientes, siga las instrucciones de la sección anterior sobre cómo cargar Windows PowerShell Ayuda para MBAM. |
En TechNet como páginas web |
|
En el Centro de descarga como un archivo de word .docx |
|
En el Centro de descarga como un archivo .pdf |
Compatibilidad con PIN mejorados y solo ASCII y la capacidad de evitar caracteres secuenciales y repetidos
Permitir PIN mejorados para la configuración de directiva de grupo de inicio
La configuración de directiva de grupo, Permitir PIN mejorados para el inicio, permite configurar si los PIN de inicio mejorados se usan con BitLocker. Los PIN de inicio mejorados permiten a los usuarios escribir cualquier tecla en un teclado completo, incluidas las letras mayúsculas y minúsculas, los símbolos, los números y los espacios. Si habilita esta configuración de directiva, todos los PIN de inicio de BitLocker nuevos que se establezcan serán PIN mejorados. Si deshabilita o no establece esta configuración de directiva, no se pueden usar los PIN mejorados.
No todos los equipos admiten la entrada de PIN mejorados en el entorno de ejecución previo al arranque (PXE). Antes de habilitar esta configuración de directiva de grupo para su organización, ejecute una comprobación del sistema durante el proceso de instalación de BitLocker para asegurarse de que el BIOS del equipo admite el uso del teclado completo en PXE. Para obtener más información, vea Planning for MBAM 2.5 directiva de grupo Requirements (Planeamiento de los requisitos de MBAM 2.5 directiva de grupo).
Casilla Requerir PIN solo ASCII
La opción Permitir PIN mejorados para el inicio directiva de grupo también contiene una casilla Requerir PIN solo ASCII. Si los equipos de su organización no admiten el uso del teclado completo en PXE, puede habilitar la opción Permitir PIN mejorados para el inicio directiva de grupo y, a continuación, activar la casilla Requerir PIN solo ASCII para requerir que los PIN mejorados usen solo caracteres ASCII imprimibles.
Uso forzado de caracteres no secuenciales y no recuperables
MBAM 2.5 impide que los usuarios finales creen PIN que constan de números repetidos (como 1111) o números secuenciales (como 1234). Si los usuarios finales intentan escribir una contraseña que contiene tres o más números repetidos o secuenciales, el Asistente para cifrado de unidad Bitlocker muestra un mensaje de error e impide que los usuarios escriban un PIN con los caracteres prohibidos.
Adición del certificado DRA al informe de cumplimiento del equipo de BitLocker
Se ha agregado un nuevo tipo de protector, el certificado del Agente de recuperación de datos (DRA), al informe de cumplimiento de equipos de BitLocker en Configuration Manager. Este tipo de protector se aplica a las unidades del sistema operativo y aparece en la sección Volúmenes de equipo de la columna Tipos de protector .
Compatibilidad con implementaciones de compatibilidad con varios bosques
MBAM 2.5 admite los siguientes tipos de implementaciones de varios bosques:
Bosque único con un solo dominio
Bosque único con un único árbol y varios dominios
Bosque único con varios árboles y espacios de nombres separados
Varios bosques en una topología de bosque central
Varios bosques en una topología de bosque de recursos
No hay compatibilidad con la migración de bosques (pasando de uno a varios, de varios a uno, de recurso a en todo el bosque, etc.) ni de actualización o degradación.
Los requisitos previos para implementar MBAM en implementaciones de varios bosques son:
El bosque debe ejecutarse en versiones compatibles de Windows Server.
Se requiere una confianza bidireccional o unidireccional. Las confianzas unidireccionales requieren que el dominio del servidor confíe en el dominio del cliente. En otras palabras, el dominio del servidor apunta al dominio del cliente.
Compatibilidad del cliente de MBAM con unidades de disco duro cifradas
MBAM admite BitLocker en unidades de disco duro cifradas que cumplen los requisitos de especificación de TCG para los estándares de Opal y IEEE 1667. Cuando BitLocker está habilitado en estos dispositivos, generará claves y realizará funciones de administración en la unidad cifrada. Consulte Disco duro cifrado para obtener más información.
Obtención de tecnologías MDOP
MBAM forma parte del Microsoft Desktop Optimization Pack (MDOP). MDOP forma parte del programa Microsoft Software Assurance. Para obtener más información sobre el programa Microsoft Software Assurance y cómo adquirir MDOP, consulte How Do I Get MDOP?.
Notas de la versión de MBAM 2.5
Para obtener más información y noticias de última hora que no se incluyen en esta documentación, vea Notas de la versión de MBAM 2.5.
¿Tienes una sugerencia para MBAM?
- Envíe sus comentarios aquí.
- Para problemas de MBAM, use el foro de TechNet de MBAM.